82 REDES PRIVADAS VIRTUALES ORA-MA
ADMINISTRACIÓN DE REDES TCP/IP_83
* SYN: sincroniza los números de secuencia para iniciar una conexión.
* FIN: cierra una conexión (el emisor ha terminado de enviar los datos).
* Window size: número máximo de bytes (ventana) que se están dispuestos a
recibir hasta nuevo aviso.
* Checksum: código detector de errores empleado para el chequeo de la ca-
becera y el área de datos.
* Urgent pointer: desplazamiento a sumar al número de secuencia actual para
obtener el byte urgente.
* Options: campo de longitud variable utilizado para distintas opciones del
protocolo: tamaño máximo de los segmentos, factor de ventana, sello de
tiempo, etc.
* Data: información a transmitir proveniente del nivel superior.
TCP también proporciona un servicio de transferencia confiable de la informa-
ción mediante la implementación de los siguientes mecanismos:
* Cada vez que se envía un segmento de datos se pone en marcha un tempori-
zador. Si no se recibe un acuse de recibo en dicho intervalo de tiempo, el
segmento se vuelve a retransmitir. El acuse de recibo es acumulativo, es de-
cir, cuando se recibe el asentimiento para un determinado byte, están siendo
confirmados todos los bytes anteriores al byte en cuestión. Por este motivo,
TCP no tiene que enviar un acuse de recibo por cada byte recibido.
* Mediante el campo checksum, el receptor puede detectar datos corruptos.
En caso de realizarlo, descartaria el segmento y no enviaria el asentimiento,
con lo que el emisor le volvería a enviar la información.
* TCP numera los datos transmitidos con el objetivo de poder detectar infor-
mación duplicada, segmentos desordenados, datos perdidos, etc.
Cuando se quiere iniciar una conexión TCP, siempre se dan los siguientes pa-
sos:
* El cliente inicia el proceso de conexión mediante el envío de un segmento
TCP, con el bit SYN activado, al puerto en el cual el servidor está escuchan-
do. Este segmento también indicará al otro extremo de la conexión cuál es
ORA-MA CAPÍTULO 2.
el primer número de secuencia utilizado para dicho sentido de la transmi-
sión.
» El servidor asentirá el segmento recibido enviando otro segmento con los
bits SYN y ACK activados. También contendrá el primer número de secuen-
cia utilizado en sentido servidor cliente.
» Elcliente enviará un acuse de recibo con el bit 4CK del segmento activado.
En TCP, el control de flujo se consigue a través de la ventana de transmisión
(Window size). Si no existiera un método de control de flujo, se podría dar la situa-
ción de que un servidor enviara información más rápidamente de lo que el cliente
fuera capaz de procesar. Esta situación podría llevar al sistema a un ralentizamiento
e incremento innecesario de los recursos. TCP avisará al sistema remoto, fijando
para ello el tamaño máximo de ventana (flujo de información) que está dispuesto a
recibir.
Nivel de aplicación
En este nivel se definen aquellos procesos que proporcionan servicios directa-
mente al usuario final del sistema o a otros procesos subyacentes del mismo nivel.
Por lo general, estos servicios se apoyan en los protocolos de la capa de transporte.
Los protocolos más conocidos de este nivel que emplean el servicio de transpor-
te TCP son TELNET (conexión remota de terminales), FTP (transferencias interac-
tivas de ficheros), SMTP (envío de correos a través de la red), etc. Para el caso de
UDP se tiene DNS (resolución de nombres de dominio), NFS (compartición de fi-
cheros dentro de una red), RIP (intercambio de información relativa a rutas), etc.
Routers
Un router es un dispositivo de comunicación que dirige los datos entre dos o
más redes. Un router viene a ser un conmutador de paquetes que opera a nivel de
red dentro del modelo de referencia OSI y a nivel IP dentro del modelo de referen-
cia TCP/IP. Un router permite interconectar tanto redes de área local (LAN) como
redes de área extensa (WAN) y entre sus funciones principales destaca la de pro-
porcionar un control de tráfico y filtrado de los datagramas a nivel de red.
Un router es capaz de dirigir el tráfico dinámicamente, es decir, seleccionar el
camino que debe seguir un paquete en el momento en el que le llega, todo ello en
84 REDES PRIVADAS VIRTUALES ORA-MA
base a unos determinados parámetros (coste de las líneas, número de saltos, veloci-
dad, etc.). Toda esta información se almacena en las tablas de enrutado.
Por lo general, en una tabla de rutas se pueden encontrar dos tipos de entradas:
e Rutas directas, utilizadas para redes interconectadas localmente.
* Rutas indirectas, para redes accesibles a través de uno o más routers.
En este capítulo nos vamos a centrar en los routers ADSL. Estos dispositivos
tienen la capacidad adicional de modular y demodular los datos transmitidos a
través de una línea ADSL. Como veremos en la siguiente sección, un router se
puede configurar en modo multipuesto o monopuesto.
Multipuesto vs Monopuesto
Un router ADSL puede funcionar en dos modos distintos: multipuesto o mono-
puesto.
192.168.1.1 217.16.45.51
Router ADSL
Figura 2.12: Router ADSL en modo multipuesto
Cuando se configura en modo multipuesto, el router permite interconectar más
de un computador a través de un switch intermedio, o directamente, a través de al-
guna de las bocas libres del router. Bajo esta disposición, se crea una red privada
intermedia entre el router y el resto de equipos interconectados. La dirección IP
pública proporcionada por el ISP (Internet Service Provider, Proveedor de Servi-
cios de Internet), la asume directamente el router. Por lo tanto, cuando alguno de
los equipos existentes en la red local del router quiera salir a Internet, el router de-
berá encargarse de efectuar un NAT sobre las direcciones IP privadas de los equi-
pos (ver la siguiente sección del capítulo). En resumen, en modo multipuesto el
ORA-MA CAPÍTULO 2. ADMINISTRACIÓN DE REDES TCP/IP 85
router actuará como si de un muro se tratase, separando la red local de Internet y
filtrando los datos entrantes y salientes en base a unos determinados parámetros
(ver la figura 2.12).
Cuando se configura en modo monopuesto, el router se comporta como un
módem, es decir, un dispositivo transparente que deja pasar libremente todos los
datos hacia una única máquina situada detrás de él. Para este caso, la dirección IP
pública proporcionada por el ISP le es asignada directamente al computador final
situado detrás del router. El router únicamente se limitará a modular la información
transmitida (ver la figura 2.13).
Router ADSL
Figura 2.13: Router ADSL en modo monopuesto
El modo multipuesto está recomendado para cuando se tiene un conjunto de
equipos con los que se quiere formar una red de área local. El modo monopuesto es
propicio para el caso de tener una única máquina, ya que se agiliza el tránsito de
paquetes al no tener un dispositivo que filtra los datos. El problema principal de es-
ta configuración es que se dejan expuestos de cara a Internet todos los puertos del
equipo situado detrás del router.
NAT (Network Address Translation)
NAT (Network Address Translation) o traducción de direcciones de red, es una
técnica que permite que una o varias máquinas compartan una única dirección IP,
con el objetivo de acceder a una determinada red.
La principal causa de empleo del NAT viene de la necesidad de resolver la es-
casez de direcciones en el espacio de direccionamiento de IPv4.. La tecnología
NAT se emplea fundamentalmente cuando se necesita conectar una red de área lo-
cal formada por varias máquinas, a Internet, y se disponen menos direcciones IP
públicas que equipos internos.
86 REDES PRIVADAS VIRTUALES ORA-MA ORA-MA CAPÍTULO 2. ADMINISTRACIÓN DE REDES TCPP 87

Para que un equipo pueda navegar por Internet necesita de una dirección IP
pública, es decir, una dirección registrada y conocida por todos los computadores
conectados a la gran red de redes. Como se ha explicado en el párrafo anterior, una
empresa u organización que tuviera miles de ordenadores, no podría tener una di-
rección IP pública para cada uno de los equipos, debido principalmente a su coste ¢
insuficiencia.
nes IP que cada persona podría utilizar libremente dentro de su red interna, pero
que no le servirían para conectarse a Internet debido a que no son públicas, es de-
cir, no tienen un dueño previamente definido.
Estos tres rangos de direcciones privadas están formados por las siguientes sub-
redes:

* 10.0.0.0/8.

* 172.16.0.0/12.

* 192.168.0.0/16.

En la figura 2.14 puede observarse que el único dispositivo que tiene asignado
una dirección IP pública es el router (217.16.45.51). El router hace de pasarela en-
tre Internet y las tres subredes existentes detrás de él (10.1.0.0/16, 192.168.1.0/24,
172.16.1.0/24), las cuales utilizan direcciones IP pertenecientes al rango privado de
Internet.

Por lo tanto, para que una máquina ubicada en cualquiera de los tres segmentos
de red pueda salir a Internet, en el router se ha de producir una traducción de direc-
ciones, es decir, la dirección IP origen privada que venga en el paquete se cambiará
por la pública del router. Cuando el paquete llegue al destino, éste responderá a la
dirección pública del router, y a su vez, el router enviará el paquete hacia la máqui-
na de la red interna. Esto es lo que se conoce como SNAT (Source Network Ad-
dress Translation, se llama así porque se produce una modificación de la dirección
TP origen del paquete).

66.129.14 Vamos a ver todo esto con un ejemplo ilustrado. Se va a suponer que la máqui-
na con dirección IP 192.168.1.2 quiere averiguar si el servidor con dirección IP
66.12.9.14, tiene el servicio SSH (puerto 22) levantado.

root@kubuntu:~# telnet 66.12.9.14 22

Direccionamiento privado Direccionamiento público Trying 66.12.9.1-
10.0.0.0/8
172.16.0.012
192.168.0.0116 En el ejemplo de la figura 2.15 puede observarse que la máquina con dirección
IP 192.168.1.2 inicia la conexión empleando para ello un número de puerto origen
Figura 2.14: Direccionamiento IP privado y público aleatorio (11111). El destino del paquete es el puerto 22 de la máquina con direc-
ción IP 66.12.9.14.
Para resolver este problema, en Internet se reservan tres rangos de direcciones
conocidas como direcciones IP privadas. Es decir, se trata de un grupo de direccio-

88 REDES PRIVADAS VIRTUALES
Figura 2.15: Paquete de ida a la salida de la máquina 192.168.1.2 (subred 192.168.1.0/24)
Cuando el paquete llegue al router, cambiará la dirección IP origen (privada)
por su dirección IP pública. También cambiará el puerto origen, por un puerto libre
que el router no esté utilizando (ver la figura 2.16).
217.16.45.51:22222 |
Figura 2.16: Paquete de ida a la salida del router (Internet)
Toda esta información de translación la almacena el router en una tabla interna,
con la finalidad de que cuando llegue el paquete de vuelta, sepa a qué máquina de-
be redireccionar la respuesta (ver la figura 2.17).
TP PRIVADA_| PUERTO ORIGEN (P PRIVADA) | P PÚBLICA | PUERTO
ORIGEN (P PUBLICA) | PROTOCOLO
19216812 1n 217164551 22222
Figura 2.17: Tabla dinámica de traslación de direcciones (SNAT)
Cuando el paquete llegue al destino y éste retorne una respuesta, lo hará a la di-
rección IP pública del router (ver la figura 2.18).
66.12.9.14:22 217.16.4551:22222 |
Figura 2.18: Paquete de vuelta a la salida de la máquina con dirección IP 66.12.9.14 (Inter-
net)
Una vez que el paquete llegue de vuelta al router, consultará en su tabla de tras-
lación de direcciones el puerto destino y en base a ello, enviará el paquete a la
máquina que inició la conexión dentro de la red interna (ver la figura 2.19).
ORA-MA CAPÍTULO 2. ADMINISTRACIÓN DE REDES TCP/IP 89
ORA-MA
192.168.1.2:11111
Figura 2.19: Paquete de vuelta a la salida del router (subred 192.168.1.0/24)
¿Qué ocurriría si más de una máquina de la red local iniciase una conexión SSH
hacia la misma máquina destino? No habría ningún problema, ya que como hemos
visto anteriormente, el router maneja una tabla dinámica donde va almacenando los
datos correspondientes a las distintas conexiones que le llegan (ver la figura 2.20).
[P PRIVADA | PUERTO ORIGEN (P PRIVADA) | 1P PÚBLICA | PUERTO ORIGEN(IP PÚBLICA) | PROTOCOLO
19216812 1111 217.16.45.51 22222 TCP
101.02 11 217.164551 14264 TCP
192.168.1.2 35617 217.16.4551 47813 TCP
Figura 2.20: Tabla dinámica de traslacion de direcciones con más de una entrada (SNAT)
En la figura anterior pueden observarse dos situaciones distintas. Si dos máqui-
nas con direcciones IP privadas iniciaran la conexión utilizando el mismo puerto
origen (11111), no habría ningún problema porque el router cambiaria dichos puer-
tos por dos puertos suyos que estuviesen libres. Y si dentro de una misma máquina
TCP (192.168.1.2) se iniciasen dos conexiones hacia un mismo destino, la probabilidad
de que se utilizase el mismo puerto origen es muy baja.
Decir también que el SNAT se puede aplicar dentro de una red interna. En el
ejemplo de la figura 2.14, para que la computadora con dirección IP 192.168.1.2
pueda acceder a la máquina con direccién IP 172.16.1.2, tiene dos posibilidades:
e Poner una ruta de vuelta en la máquina 172.16.1.2 hacia la subred
192.168.1.0/24 (route add -net 192.168.1.0 netmask 255.255.255.0 gw
172.16.1.1) o una ruta directa al equipo (route add -host 192.168.1.2 gw
172.16.1.1).
e Configurar una regla SNAT en el router de tal manera que, todos los paque-
tes que tengan como origen una dirección perteneciente a la subred
192.168.1.0/24, se les cambie por la dirección IP 172.16.1.1 (iptables -t nat
-A POSTROUTING -s 192.168.1.0/24 -j SNAT —to 172.16.1.1).
Si el router en lugar de modificar algún parámetro del campo origen, cambia
algún valor del campo destino (dirección o puerto), estara realizando un DNAT
90 REDES PRIVADAS VIRTUALES ORA-MA ORA-MA CAPÍTULO 2. ADMINISTRACIÓN DE REDES TCP/IP 91

(Destination Network Address Translation). Esta situación se da cuando se quiere

acceder a algún servicio de la red local desde una red externa, como por ejemplo 66.12.9.14:37214
Internet.
Figura 2.24: Paquete de vuelta a la salida de la máquina con dirección IP 10.1.0.2 (subred
Siguiendo con el ejemplo de la figura 2.14, vamos a suponer que la máquina
10.1.0.0/16)
con dirección IP 10.1.0.2 configura un servicio SSH en el puerto 2222, y además,
se quiere que sea accesible desde Internet. Cuando la máquina con dirección IP
66.12.9.14 quiera acceder a dicho servicio, se conectará al puerto 22 de la dirección Si se diera el caso de que se quisiera acceder por SSH a las tres máquinas de la
IP pública del router (217.16.45.51). Este dispositivo será el encargado de redirec- figura 2.14 desde Internet (10.1.0.2, 192.168.1.2, 172.16.1.2), cada una de ellas
cionar el tráfico que cumpla con estos patrones hacia el puerto 2222 de la máquina ría levantar por ejemplo el servicio en el puerto 22, y en el router, habría que
privada. En las siguientes figuras se va a desarrollar un ejemplo ilustrado para este publicar tres puertos a los que poder conectarse (ver la figura 2.26).
caso.

217.16.45.51:22
66.12.9.14:37214
Figura 2.25: Paquete de vuelta a la salida del router (Internet)
Figura 2.21: Paquete de ida a la salida de la máquina con dirección IP 66.12.9.14 (Internet)

[ IPPRIVADA | PUERTO DESTINO (IP PRIVADA) | IP PUBLCA PUERTO DESTIN O | PROTOCOLO

(IP PUBLICA)
_ Cuando este paquete llegue al router, consultard sus tablas estáticas de trasla- 10102 2 217164551 40001 TCP
ción de direcciones y reenviará el encapsulado hacia la máquina con dirección IP 10216812 2 217164551 40007 TOP
10.1.0.2. 1721012 22 217164551 49003 TO

Figura 2.26: Tabla estática de traslación de direcciones con más de una entrada (DNAT)
1P PRIVADA | PUERTO DESTINO (IP PRIVADA) | IP PÚBLICA | PUERTO DESTINO (IP PUBLICA) | PROTOCOLO |
10102 2222 217.164551 2 TOP
Dentro del tema central que nos atañe, las redes privadas virtuales, el principal
Figura 2.22: Tabla estática de traslación de direcciones (DNAT) problema del NAT viene con el cifrado. Cuando se envía un paquete se calcula un
checksum (huella) en base a la carga del paquete (cabeceras y área de datos).
Cuando un paquete pasa por un dispositivo NAT, el checksum tiene que volver a
ser recalculado, ya que las direcciones IP cambian.
214 10.1.0.2:2222
Por lo tanto, en paquetes TCP o UDP como los que emplea SSL, el problema no
sería tan grave, ya que lo único que ocurriría sería una demora temporal; pero en
Figura 2.23: Paquete de ida a la salida del router (subred 10.1.0.0/16)
cambio en una VPN de tipo IPSec en donde los datos van cifrados en paquetes
ESP, el propio checksum iría cifrado dentro del área de datos del encapsulado, con
(;omo'pu'ede ohs:rvax_se en la figura anterior, se ha sustituido la dirección IP lo que los datos serían desechados al llegar al destino (información alterada).
gesnm; pública, por la privada. En las siguientes figuras queda ilustrado el camino
le vuelta. Como veremos en el capítulo de JPSec, cuando se detecta que enla trayectoria
del posible túnel VPN existe algún elemento que pueda efectuar un NAT, ambos
extremos del enlace acordarán enviar los datos cifrados en paquetes UDP. -
 |
92 REDES PRIVADAS VIRTUALES ORA-MA ORA-MA CAPÍTULO 2. ADMINISTRACIÓN DE REDES TCP/IP 93

Publicación de servicios en Internet
Cuando un determinado servicio se quiere hacer público de cara a Internet, hay
que redireccionar el puerto o los puertos correspondientes en el router hacia la
máquina servidora del correspondiente servicio.
i Pero puede darse el caso de que una persona necesite acceder al servidor web
desde su casa, es decir, desde fuera de la red interna de la empresa (ver la figura
2.28).

Por ejemplo, una empresa puede tener dentro de su red interna una maquina que
actúe de servidor web (ver la figura 2.27). Este servicio, que en el ejemplo de la fi- 192.168.1.10
gura citada se encuentra en la máquina con dirección IP 192.168.1.90, podrá ser
accedido por aquellos usuarios pertenecientes a la misma red local en la que se en-
cuentra el servidor (192.168.1.0/24).

Router ADSL

S 192.168.1.10

192.168.1.90
192.168.1.1 80.115.12.23

Figura 2.28: Acceso al servidor web desde Internet

Router ADSL

El servidor web no es accesible al usuario remoto debido a que la máquina don-

de se ubica este servicio posee una dirección IP privada. La única dirección que
conoce el empleado es la dirección IP pública del router (217.16.45.51).
192.168.1.90
Por lo tanto, para que el cliente pueda acceder al servicio web de la empresa, el
Figura 2.27: Acceso al servidor web desde la red interna router tendrá que redireccionar todas las peticiones que le lleguen y tengan como
puerto destino el 80 (HTTP). Y esa redirección de tráfico la tendrá que hacer hacia
el servidor web (máquina con dirección IP 192.168.1.90).
Si un usuario perteneciente a dicha red local quisiera comprobar si tiene acceso
al servidor web (por ejemplo el ordenador con dirección IP 192.168.1.10), sería su- De esta forma, el empleado únicamente tendrá que poner la dirección IP pública
ficiente con poner la dirección del servidor en su navegador web, o directamente, de su empresa (217.16.45.51) en su navegador web, y cuando esta peticion le lle-
establecer una sesión telnet al puerto 80 (puerto que por defecto emplea el servicio gue al router ADSL, la redireccionará hacia el servidor web.
web).
Este ejemplo mostrado acerca de la publicación de un servidor web en Internet,
root@kubuntu:~# telnet 192.168.1.90 80 puede ser trasladado a otros muchos servicios, como pueden ser el correo electró-
Trying 192.168.1.90.. nico mediante SMTP, la transferencia de archivos con FTP, el acceso a máquinas
Connected to 192.168.1.90. remotas a través de sesiones SSH, etc.
Escape character is '*]'.
 ORA-MA ORA-MA CAPÍTULO 2. ADMINISTRACIÓN DE REDES TCP/IP 95
94 REDES PRIVADAS VIRTUALES

Pero el caso que nos corresponde en el presente libro es el de las redes privadas
virtuales, situacion similar a las anteriormente comentadas. Cuando un usuario re-
a
moto o incluso una oficina se quiera conectar a un servidor VPN, lo habitual va
ser que este servidor se encuentre detrás de un router ADSL, dentro de alguna red
interna.

Por lo tanto y en función del puerto que utilice cada VPN, el router tendrá que
redireccionar las peticiones que vayan dirigidas a dichos puertos hacia el propio
servidor VPN, situado dentro de la red interna.

* IPSec utiliza los puertos 500 y 4500.

e L2TPutiliza el puerto 1701.

e PPTPutilizael puerto 1723. G AT TO a re eaS e

Figura 2.29: Acceso web al router

e SSL utiliza por defecto el puerto 1194.

Dentro de los capítulos de IPSec, PPTP, IPSec/L2TP y SSL, se incluirá una Una vez dentro de la pantalla principal de configuración del router, habrá que
sección correspondiente a configuraciones avanzadas, donde se ilustrarán situacio- seleccionar la etiqueta de NAT (ver la figura 2.30).
nes reales en las que hay que realizar una redirección de puertos en el router.

En el siguiente apartado vamos a estudiar los pasos que hay que seguir para E Web Canfigurator - Mazitla Frsox —
configurar una redirección de puertos en un router convencional. e e _y _Vec _rr _A
e-9-9 9 Q Cmmeman — —
El modelo de router escogido para mostrar un ejemplo de cómo se configura la
redirección de puertos ha sido el Zyxel Prestige 660HW-61, aunque la forma de smenar — MeL
operar sobre cualquier router suele ser bastante similar. Los routers por lo general,
pueden ser configurados a través de un explorador web o mediante una sesión tel- sty
net. i o 1
p
Redirección de puertos en un router convencional (http)

Si se opta por la configuración mediante un interfaz web, únicamente habrá que

escribir la dirección IP privada del router en el navegador web y a continuación, in-
troducir el nombre de usuario y contraseña que lo protege en una ventana emergen-
te (ver la figura 2.29).

(Temado De MA
Figura 2.30: Pantalla principal del router (sesión web)
 96 REDES PRIVADAS VIRTUALES ORA-MA ORA-MA CAPÍTULO 2. ADMINISTRACIÓN DE REDES TCP/IP_97

Estando en la pantalla de NA7 — Mode (ver la figura 2.31), seleccionaremos la - Mozl Frelox
@ es Contigurator
opción de SUA Only y al pulsar sobre el enlace Edit Details, llegaremos a la panta-
lla de configuración de redirecciones. —Me.a

( Web Canfignaar zi Fe —

O
0 9 B
EE Osurony Ecromas
m Orureawe EsiDotsz

8 3
[ R
OCE AC Temeado O s, M M
Figura 2.31: Pantalla del modo NAT (sesión web)
Figura 2.32: Pantalla de redirección de puertos (sesión web)

En la pantalla NAT — Edit SUA/NAT Server Set (ver la figura 2.32) se tienen dos
columnas para establecer el puerto o los puertos a redireccionar, y una última co-
lumna para indicar la máquina destino de la redirección (IP Address).
Si se quiere redirigir un único puerto, hay que poner el valor de éste en las co-
lumnas Start Port No (puerto inicial) y End Port No (puerto final). Si en cambio se
quiere redireccionar un rango de puertos, habrá que especificar el puerto inicial del
rango en la columna Start Port No y el puerto final en End Port No.
Redirección de puertos en un router convencional (telnet)
Otra alternativa a la configuracién del router mediante acceso web, es emplear
una sesión telnet hacia la dirección IP privada del router. Para realizar esta tarea,
tanto si estamos en un sistema operativo de tipo Microsoft Windows como
GNU/Linux, habrá que abrir una consola o terminal para poder ejecutar dicho co-
mando.

Una vez fijados los datos, únicamente habrá que pulsar sobre el botón Save para root@kubuntu:~# telnet 192.168.1.1
guardar los cambios en la memoria del router. Trying 192.168.1.1..
Connected to 192.168.1.1.
Escape character is "]

Password:
98 REDES PRIVADAS VIRTUALES ORA-MA ORA-MA CAPITULO 2. ADMINISTRACION DE REDES TCP/P 99

Al abrir la sesión con el router, el terminal nos solicitará la clave de acceso. Una
vez introducida, accederemos a la pantalla principal del router (ver la figura 2.33).
Dentro de esta pantalla escribiremos la opción 15 (VAT Setup) y pulsaremos so-
bre la tecla Enter. De este modo, accederemos a la pantalla de NAT Setup (ver la
figura 2.34).
En esta pantalla tendremos que escribir la opción 2 (NAT Server Sets) y pulsar
sobre la tecla Enter, para así poder llegar a la pantalla de NAT Server Sets (ver la
figura 2.35).

ction Number

Figura 2.35: Pantalla de selección de servidor (sesión telnet)

Al escribir la opción 1 (Server Set 1) y pulsar sobre la tecla Enter, estaremos en

la pantalla de configuración de redirecciones (ver la figura 2.36).

Dentro de esta pantalla y al igual que en la opción web, podremos redirigir un

único puerto o un conjunto de puertos acotados mediante un puerto inicial (Start
Port No) y final (End Port No). La columna IP Address se utilizará para indicar la
dirección IP de la máquina a la que se quiere realizar la redirección.

Una vez fijados los datos, únicamente quedará por situar el cursqr sobre la línea
Press ENTER to Confirm or ESC to Cancel y pulsar la tecla Enter.

Figura 2.34: Pantalla del modo NAT (sesión telnet)

100 REDES PRIVADAS VIRTUALES ORA-MA
Figura 2.36: Pantalla de redirección de puertos (sesión telnet)
Servicio DNS dinámico
Uno de los problemas que pueden aparecer cuando se configura un túnel VPN
viene dado por las direcciones IP públicas utilizadas en los extremos del túnel.
Cuando se configura un enlace VPN, los participantes intercambian entre sí las di-
recciones IP públicas empleadas para la conexión (en caso del modelo de gateways
remotos) o si se trata de un esquema de oficina remota contra road warriors, hay
que informar a los usuarios a qué dirección IP pública deben conectarse.
Si la dirección pública es estática (dirección IP propietaria, no cambia a lo largo
del tiempo) no habría ningún tipo de problema; pero en cambio si es dinámica (ca-
da vez que se enciende el router, se le asigna una nueva dirección IP), habría que
estar modificando el fichero de configuración de la VPN cada vez que ésta cambia-
ra.
La solución pasa por crear un dominio en Internet (por ejemplo midominio.com)
y asociarle de forma dinámica una dirección IP. Por lo tanto, en vez de utilizar una
dirección IP como extremo remoto de la conexión, se emplearía un nombre de do-
minio. En el momento de iniciar la conexión, lo primero que se haría sería resolver
dicho nombre de domino a través de un servidor DNS (Domain Name System, Sis-
ORA-MA CAPÍTULO 2. ADMINISTRACIÓN DE REDES TCP/IP_101
tema de Nombres de Dominio), el cual nos devolvería una dirección IP que sería la
que realmente se utilizase. El nombre de dominio viene a ser un alias de la direc-
ción IP, pero a diferencia de esta última que puede ser dinámica, se trata de una ca
dena estática.
Un DNS es una base de datos distribuida y jerárquica, que almacena informa-
ción asociada a nombres de dominio y direcciones IP en redes como Internet.
En Internet existen varios proveedores de dominios gratuitos que además, nos
van a facilitar la administración del registro DNS asociado a dicho dominio. El
proveedor que vamos a elegir para realizar las pruebas va a ser DynDns [Dyn08].
Registro de un dominio en DynDNS
DynDNS es un proveedor de nombres para direcciones IP dinámicas. DynDNS
nos proporciona un subdominio, como por ejemplo midominio.dyndns.org, el cual
tendrá asociada nuestra dirección. A través de un programa cliente instalado en una
máquina, cada vez que cambie nuestra direccion IP, automáticamente se refrescará
la dirección pública que tiene asociada nuestro dominio.
| @DynDNS
Sorver
Invisible Reliability, Obvious Val
Figura 2.37: Página web principal de DynDNS .
Dentro de la página principal de DynDNS, seleccionaremos la opción Account,
que nos llevará a la pantalla de acceso para la administración de la cuenta (en caso